Pseudonimizacja

Czym jest pseudonimizacja?

Ogólne rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. o ochronie danych wprowadza wiele zmian w obszarze ochrony danych osobowych. Przepisy rozporządzenia, którego celem jest zwiększenie bezpieczeństwa przetwarzania danych osobowych, znajdą zastosowanie już od 25 maja 2018 r. Czekające nas zmiany związane są m.in. ze zdefiniowaniem środka ochrony danych jakim jest pseudonimizacja.

Pseudonimizacja danych osobowych może ograniczyć ryzyko dla osób, których dane dotyczą, oraz pomóc administratorom i podmiotom przetwarzającym wywiązać się z obowiązku ochrony danych. Tym samym bezpośrednie wprowadzenie pojęcia „pseudonimizacja” w niniejszym rozporządzeniu nie służy wykluczeniu innych środków ochrony danych. 

– Motyw 28 Preambuły RODO

 

W art. 4 pkt 5 rozporządzenia pseudonimizacja została zdefiniowana jako przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać konkretnej osobie, której dane dotyczą, bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W wyniku pseudonimizacji część danych dotyczących danej osoby zostaje zastąpiona pseudonimem, dzięki czemu są one chronione.

 

Pseudonimizacja została wymieniona w art. 32 RODO jako jeden ze środków technicznych i organizacyjnych, służących do zapewnienia stopnia bezpieczeństwa odpowiadającego stopniowi ryzyka naruszenia praw lub wolności osób fizycznych, obok środków takich jak:

  • szyfrowanie danych osobowych,

  • zdolność do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,

  • zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,

  • regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.

 

Z tego też przepisu wynika fakt, że pseudonimizację należy stosować uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia.

 

Pseudonimizacja będzie szczególnie przydatnym środkiem ochrony zwłaszcza w przypadku przetwarzania dużej ilości danych.

Podkreślić jednakże należy, iż pseudonimizacja nie jest metodą anonimizacji.

 

W celu zgłębienia tematu polecamy Opinię Grupy Roboczej Art. 29 w sprawie technik anonimizacji.

Upoważnienia do przetwarzania danych osobowych w projekcie „ustawy wprowadzającej RODO”   Od rozpoczęcia obowiązywania RODO i nowej ustawy o ochronie …

W ostatnich latach regulacje dotyczące danych osobowych przedsiębiorców ulegały znaczącym zmianom. Początkowo do tych danych nie miały zastosowania przepisy ustawy …

Nowe obowiązki informacyjne Już niebawem, a dokładniej 25 maja 2018 r., zastosowanie znajdą przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) …